SonicWall针对影响其分析和GMS产品的关键缺陷发布补丁

网络安全公司SonicWall周五发布了修复程序，以缓解影响其Prem和全球管理系统（GMS）产品分析的关键SQL注入（SQLi）漏洞。

该漏洞被跟踪为在CVSS评分系统中，其严重性评级为9.4，这源于该公司所描述的SQL命令中使用的“特殊元素的不当中和”，可能导致未经验证的SQL注入。

MITRE在其对SQL注入的描述中指出：“如果在用户可控制的输入中没有充分删除或引用SQL语法，生成的SQL查询可能会导致这些输入被解释为SQL，而不是普通的用户数据”。

这可用于改变查询逻辑以绕过安全检查，或插入修改后端数据库的附加语句，可能包括执行系统命令

DBappSecurity HAT Lab的H4lo和Catalpa发现并报告了影响2.5.0.3-2520和早期版本的分析Prem以及9.3.1-SP2-Hotfix1之前（包括9.3.1-SP2-Hotfix1）的所有版本的缺陷。

建议依赖易受攻击设备的组织升级到Analytics 2.5.0.3-2520-Hotfix1和GMS 9.3.1-SP2-Hotfix-2。

SonicWall说：“没有解决这个漏洞的方法”。“然而，通过整合Web应用程序防火墙（WAF）来阻止SQLi尝试，可以显著降低利用漏洞的可能性”。